王亞坤 王晏雯 向英英 葉慧靈

【摘? 要】汽車功能安全設(shè)計日益受到重視，但當(dāng)前針對電源分配的功能安全方面的研究相對缺乏。本文旨在研究給定汽車安全完整性等級（Automotive safety integrity level，ASIL）的電源分配設(shè)計方案。首先，確定電源分配子系統(tǒng)的ASIL等級;然后根據(jù)該ASIL等級探討電源分配的安全要求，包括硬件度量指標(biāo)和避免其他系統(tǒng)干擾兩個方面;最后，提出兩種不同的電源分配設(shè)計方案，并對方案的優(yōu)缺點(diǎn)進(jìn)行分析。

【關(guān)鍵詞】電源分配;功能安全;自動駕駛

中圖分類號：U463.6? ? 文獻(xiàn)標(biāo)志碼：A? ? 文章編號：1003-8639（ 2023 ）05-0034-03

【Abstract】The design of automotive functional-safety has been paid more and more attention，but the current research on the functional-safety of power-supply distribution is relatively lacking. This paper aims to study the power-supply distribution design for a given automotive safety integrity level（ASIL）. First，the ASIL level of the power-supply distribution subsystem is determined. Then，according to the given ASIL level，the safety requirements of power distribution are discussed，including hardware metrics and avoiding interference from other systems. Finally，two different power distribution designs are proposed，and their advantages and disadvantages are analyzed.

【Key words】power-supply distribution;functional safety;automated driving

作者簡介

王亞坤（1990—），男，工程師，從事汽車線束原理開發(fā)和電源分配設(shè)計工作。

隨著汽車電動化、智能化等技術(shù)日趨發(fā)展，用戶對于汽車功能的需求日益多樣化，汽車的電子電氣（Electronic/Electrical，E / E）系統(tǒng)變得更加復(fù)雜。與此同時，電氣功能有關(guān)的故障和安全事故也呈不斷上升的趨勢[1]。汽車自動駕駛等級的提升使得駕駛安全責(zé)任逐漸從駕駛員轉(zhuǎn)移到系統(tǒng)，而自動駕駛功能的實(shí)現(xiàn)將更多地依賴于線控技術(shù)（X-by-wire）的應(yīng)用，即從機(jī)械方式轉(zhuǎn)變?yōu)殡婒?qū)動方式。因此，E / E系統(tǒng)的功能安全在汽車開發(fā)中已經(jīng)越來越受到重視。

E / E系統(tǒng)的功能實(shí)現(xiàn)依賴于穩(wěn)定可靠的供電，包括電源和電源分配，其中電源分配主要通過熔斷絲盒和供電線束實(shí)現(xiàn)。在ISO 26262-5（2018）中已經(jīng)明確，功能安全設(shè)計中需要將線束列為關(guān)注對象，但目前業(yè)內(nèi)對于電源分配的系統(tǒng)性研究工作仍然較為缺乏。

本文主要研究汽車E/E系統(tǒng)在給定ASIL的前提下，如何設(shè)計滿足功能安全要求的電源分配方案。

1? 電源分配的ASIL等級

根據(jù)ISO 26262可將E/E系統(tǒng)分為不同的ASIL等級，包括QM（Quality Management）、ASIL A/B/C/D。其中QM等級的系統(tǒng)僅做常規(guī)品質(zhì)管控，而ASIL A/B/C/D等級的系統(tǒng)則需要按照功能安全的要求進(jìn)行設(shè)計和管理。

為了分析方便，我們將電源、電源分配系統(tǒng)視為相關(guān)項(xiàng)或功能的一個組成部分，而不是獨(dú)立的系統(tǒng)[2]，如圖1所示。按照ISO 26262中定義的ASIL分配和分解的原則，電源、電源分配需要滿足和上級E/E系統(tǒng)同樣高的功能安全要求。以電動助力轉(zhuǎn)向系統(tǒng)（Electric Power Steering，EPS）為例，假定在某車型上EPS功能為ASIL C等級，那么對應(yīng)的EPS電源和電源分配子系統(tǒng)也需要滿足ASIL C的要求。

2? 電源分配的安全要求

傳統(tǒng)的電源分配系統(tǒng)除了要求安全相關(guān)的用電器使用單獨(dú)的熔斷絲供電以外，并未在設(shè)計上對不同ASIL等級的用電器進(jìn)行區(qū)分，在主電源回路中仍需要共用一級、二級熔斷絲，而三級熔斷絲一般也不加隔離地位于同一個熔斷絲盒內(nèi)。顯然，這種設(shè)計方案已經(jīng)不能滿足更高的ASIL等級要求，需要根據(jù)不同系統(tǒng)的功能安全目標(biāo)設(shè)計對應(yīng)的電源分配方案。

首先，需要明確ASIL等級的系統(tǒng)對應(yīng)電源分配的功能安全要求，依此制定相應(yīng)的安全方案，如圖2所示。

2.1? 硬件度量指標(biāo)

ISO 26262-5（2018）規(guī)定了不同ASIL等級的硬件度量指標(biāo)，包括隨機(jī)硬件失效率（Probabilistic Metric for Random Hardware Failures，PMHF）、單點(diǎn)失效率（Single-point Fault Metric，SPFM）、潛在失效率（Latent-fault Metric，LFM），如表1所示[3]。以ASIL C等級為例，整個系統(tǒng)需要滿足PMHF<100 FIT（Failure in time，1 FIT=1 failure in 109 hours），SPFM≥97%，LFM≥80%。按照ASIL等級的分配原則，電源分配部件也需要滿足同樣的硬件度量指標(biāo)要求。

用電器的供電路徑為：電源（蓄電池、發(fā)電機(jī)、DC/DC）—熔斷絲（一級或多級）—用電器，還包括端子、導(dǎo)線等起到電氣連接關(guān)系的組件。因此，用電器功能的正常供電，在硬件層面上依賴于該路徑上所有組件的可靠運(yùn)行。表2列出了供電回路中這些組件的失效模式和可能導(dǎo)致故障的原因。

針對這些失效模式，需要對電源分配組件進(jìn)行改進(jìn)或規(guī)避。比如，改善端子結(jié)構(gòu)以保證較大的接觸面積，對重要功能采用更可靠的端子鍍層（鍍銀或鍍金）以提高壽命和可靠性[4];在高風(fēng)險區(qū)域增加對導(dǎo)線的保護(hù)，對重要系統(tǒng)的電源線和搭鐵線適當(dāng)增加截面積;使用可恢復(fù)式的熔斷絲以提高魯棒性，如電子熔斷絲（E-fuse）。

2.2 避免其他系統(tǒng)干擾的要求

除了需要滿足硬件度量指標(biāo)要求以外，電源分配系統(tǒng)還需要具備抗干擾能力。當(dāng)QM負(fù)載發(fā)生短路故障時，不能對安全負(fù)載的正常工作產(chǎn)生影響。具體體現(xiàn)在安全負(fù)載的工作電壓低于正常范圍的時間需要控制在一定范圍內(nèi)。表3列出了一些典型ASIL系統(tǒng)對電源輸入電壓的要求，具體數(shù)值僅供參考，需依據(jù)系統(tǒng)的實(shí)際能力來定義。

傳統(tǒng)汽車的電源系統(tǒng)僅能對蓄電池的狀態(tài)（電壓、電流）進(jìn)行監(jiān)測，而不能對各路用電器的供電回路狀態(tài)（電壓、電流）進(jìn)行實(shí)時監(jiān)測。自動駕駛和功能安全要求的提升對整車電網(wǎng)的狀態(tài)監(jiān)控提出了更高的要求。對電網(wǎng)進(jìn)行實(shí)時狀態(tài)監(jiān)測的好處主要有兩個方面：一是可以第一時間明確是具體哪個用電器電流、電壓異常，以針對性地采取相應(yīng)措施;二是可以將累積數(shù)據(jù)進(jìn)行分析，得出電氣數(shù)據(jù)隨著汽車使用壽命的變化趨勢，提前對可能出現(xiàn)的故障進(jìn)行預(yù)測和提醒。

功能安全目標(biāo)要求系統(tǒng)可以在發(fā)生潛在風(fēng)險的時候，能夠及時地對故障進(jìn)行處理、功能降級（回退），盡快使系統(tǒng)進(jìn)入安全狀態(tài)，以免造成實(shí)際的危害。比如，自動駕駛系統(tǒng)在運(yùn)行的過程中，如出現(xiàn)某個重要傳感器故障，需要在駕駛員接管前，安全地控制車輛的速度、方向直至車輛停至相對安全的地帶，這就需要整個系統(tǒng)具備一定的冗余設(shè)計。

對電源分配方案來說，則意味著可能需要至少兩套相互獨(dú)立的電源和供電回路，并且在其中一套電源發(fā)生故障時，能夠快速地將故障電源隔離開并切換到備用電源和供電回路，以保證系統(tǒng)的正常供電不間斷。另外，如果出現(xiàn)QM負(fù)載的短路情況，應(yīng)保證相應(yīng)的熔斷絲在規(guī)定的時間內(nèi)斷開，以免影響到安全負(fù)載的供電電壓。

3? 電源分配設(shè)計方案

為滿足上述安全要求，可提出兩種可能的電源分配設(shè)計方案：①電子隔離開關(guān);②全電子式電源分配方案。下面將詳細(xì)介紹這兩種設(shè)計方案，并分析各自的優(yōu)缺點(diǎn)。

3.1? 電子隔離開關(guān)方案（eSwitch）

首先，需要分析整車的電源情況。對于燃油車型，為整車低壓用電器供電的電源為12V蓄電池和發(fā)電機(jī)。發(fā)電機(jī)的電能來自發(fā)動機(jī)的動力，二者通過純機(jī)械結(jié)構(gòu)連接;在發(fā)生碰撞時，發(fā)動機(jī)可能會熄火從而造成發(fā)電機(jī)無法輸出電能給碰撞后需要供電的用電器;另外，發(fā)電機(jī)的動態(tài)輸出能力有限，難以滿足對于動態(tài)響應(yīng)能力要求較高的用電器需求，如EPS功能。對于混合動力車或純電動車型，電源則為12V蓄電池和DC/DC。48V/12V或HV/12V的DC/DC理論上也可以達(dá)到較高的ASIL等級，但也存在動態(tài)輸出能力的限制;另外，由于電能來自48V電池或HV電池，在碰撞等情況下整車可能會切斷高壓電池的供電;最后，增加了DC/DC本身也會失效的環(huán)節(jié)。相對而言，12V蓄電池是更加穩(wěn)定、可靠的電源。如果要達(dá)到更高功能安全等級，還可以使用12V鋰電池替代傳統(tǒng)的12V鉛酸蓄電池。鋰電池可以更加精確地對蓄電池的電壓、電流、溫度等參數(shù)進(jìn)行監(jiān)測，這對于故障診斷和預(yù)測非常有利。綜上，我們可將12V蓄電池視為主電源。

如前所述，系統(tǒng)對電源分配的安全要求是保證穩(wěn)定的供電，在出現(xiàn)電源（發(fā)電機(jī)或DC/DC）故障或者QM負(fù)載短路的情況時，不能影響ASIL負(fù)載的供電。因此，需要對故障部件進(jìn)行快速、有效地隔離。以純?nèi)加蛙嚍槔?，使用eSwitch的電源分配方案拓?fù)鋱D如圖3所示，其中S為eSwitch，其位于12V電源網(wǎng)絡(luò)的主干上。

以ASIL C的EPS為例，各個部分的電源路徑ASIL分解情況如圖4所示。

對于高度自動駕駛（Highly automated driving，HAD）車輛，與駕駛安全有關(guān)的系統(tǒng)需要更高的功能安全等級，最高可至ASIL D等級。單個12V蓄電池如果發(fā)生單點(diǎn)失效情況，則不存在安全狀態(tài)可供回退。另外，現(xiàn)有的12V蓄電池技術(shù)也難以滿足ASIL D的要求。因此，高級別自動駕駛車輛一般需要兩塊相互獨(dú)立的12V蓄電池為ASIL供電，互為備份。對于HAD車輛和更高的ASIL等級要求的情況，可使用2個相互獨(dú)立的eSwitch，拓?fù)鋱D如圖5所示。

3.2? 全電子式電源分配方案（ePDU）

E-Fuse與傳統(tǒng)熔斷絲相比，具有以下優(yōu)點(diǎn)：①動作速度快，當(dāng)發(fā)生短路或過載時，其保護(hù)時間可以達(dá)到微秒級，而傳統(tǒng)熔斷絲則需要幾十毫秒甚至1s以上才能熔斷，這一點(diǎn)對于滿足ASIL系統(tǒng)的供電電壓不受其他系統(tǒng)故障的干擾至關(guān)重要;②支持實(shí)時的電壓、電流監(jiān)測功能，能夠根據(jù)監(jiān)測狀態(tài)判斷故障類型，并針對用電器的類型制定相應(yīng)的安全策略;③支持自動復(fù)位功能，當(dāng)故障或短暫的擾動消除后，可以自行恢復(fù)導(dǎo)通狀態(tài)，免更換。

ePDU方案的拓?fù)鋱D如圖6所示。需要指出的是，該方案可在不改變原來電源分配拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，將傳統(tǒng)的熔斷絲完全替換成E-fuse。

基于電子熔斷絲可實(shí)時狀態(tài)監(jiān)測、主動關(guān)斷和復(fù)位等特點(diǎn)，全電子式電源分配方案可依據(jù)負(fù)載ASIL等級的不同制定多種安全策略。例如，當(dāng)QM負(fù)載發(fā)生短路或過載時，可以將其供電快速切斷進(jìn)行隔離，當(dāng)故障消除后恢復(fù)其供電;當(dāng)電源功率不足時，可以切斷QM和低ASIL等級的負(fù)載，以優(yōu)先保證高ASIL等級負(fù)載的供電，當(dāng)電源正常時恢復(fù)供電。

由于不同的用電器具有不同的ASIL等級，需要對E-Fuse路徑分配與負(fù)載相同的ASIL等級。為了平衡硬件資源、成本、開發(fā)難度等因素，可將不同ASIL等級的負(fù)載合并放入同一個電氣盒中，那么該電氣盒應(yīng)符合負(fù)載的最高ASIL等級要求。對于最高為ASIL C級的ePDU方案，電源路徑的ASIL分解示例如圖7所示。

3.3? 方案對比討論

前文介紹了兩種不同的電源分配方案，它們都可以實(shí)現(xiàn)對低壓電網(wǎng)的狀態(tài)監(jiān)測、故障件隔離，并可以通過冗余設(shè)計實(shí)現(xiàn)最高ASIL D的電源分配功能。然而，兩種方案在成本、安全策略、其他電氣影響等方面又存在區(qū)別，下面將展開進(jìn)行討論。

1）成本。兩種方案的原理都是基于MOSFET技術(shù)，包括分離式MOSFET或者集成式驅(qū)動芯片，而當(dāng)前芯片的價格相對傳統(tǒng)熔斷絲器件要高很多。eSwitch僅在電源主回路上采用MOSFET技術(shù)，整車電源分配仍可以保留大量的傳統(tǒng)器件，而ePDU則全部采用MOSFET技術(shù)替代傳統(tǒng)器件，因此ePDU的成本比eSwtich更高。

2）安全策略。eSwitch方案由于只能控制電源主回路的通斷，因此只能對故障負(fù)載所在的電源主回路進(jìn)行隔離，不能對單個負(fù)載電源回路進(jìn)行控制。ePDU理論上可以實(shí)現(xiàn)對所有不同ASIL等級的負(fù)載電源回路進(jìn)行控制，因而具備更大的靈活性，可以針對不同ASIL等級的負(fù)載制定不同的安全策略，例如當(dāng)供電不足時，可以主動將大功率的QM負(fù)載進(jìn)行斷電或限流。

3）電氣影響。eSwitch對于傳統(tǒng)電源分配方案來說是新增組件，且需要在物理上將QM負(fù)載和不同ASIL等級的負(fù)載分配到不同的電氣盒中，因此對整車線束的影響較大。ePDU可以完全替代傳統(tǒng)的電氣盒，所有的ASIL等級負(fù)載的劃分和相應(yīng)安全策略都可以在ePDU內(nèi)部通過軟硬件來完成，因此對整車線束的影響較小。但是，在整車下電狀態(tài)下，傳統(tǒng)的熔斷絲可以方便地提供蓄電池常電至控制器，由控制器決定是否休眠以節(jié)省電能;而基于MOSFET的電子熔斷絲則在整車下電狀態(tài)下需要斷開，否則持續(xù)的靜態(tài)電流消耗將可能引起低壓蓄電池虧電，這就要求控制器做出相應(yīng)改變來與之進(jìn)行適應(yīng)。

4? 結(jié)論

本文通過分析功能安全對電源分配的要求，提出了eSwitch和ePDU兩種電源分配的解決方案。這兩種方案各有利弊，需要整車廠根據(jù)具體車型的需求進(jìn)行綜合評估來選擇，也可以考慮將兩種方案進(jìn)行一定的融合，在滿足功能安全要求的同時，達(dá)到成本、技術(shù)、復(fù)雜度等各方面的平衡。

參考文獻(xiàn)：

[1] ADAC. Pannenstatistik 2020：Die Zuverlassigkeits-Hitliste. [OL]. 2021-04-04. https：//www.adac.de/rund-umsfahrzeug/unfall-schaden-panne/adac-pannenstatistik/.

[2] P. Kilian，Armin Kohler，Patrick Van Bergen.Principle Guidelines for Safe Power Supply Systems Development[J]. IEEE Access，2021（9）：107751-107766.

[3] ISO 26262-5Road Vehicles-Functional SafetyPart 5：Product Development at the Hardware Level[S]. 2018.

[4] 楊磊. 汽車整車線束系統(tǒng)可靠性分析[J]. 汽車工程師，2019（2）：43-46.

（編輯? 楊? 景）